As regras contraditórias do KYC
As regras Know Your Customer (KYC) criam uma tensão real para as empresas fintech. Os reguladores querem verificações de identidade completas. Eles exigem que as empresas coletam e verificam documentos pessoais. Mas as leis de proteção de dados empurram no sentido oposto. Elas exigem que as empresas minimizem esses dados após a coleta.
Um banco que abre uma nova conta coleta muitos documentos. Estes incluem documentos de identidade nacionais, passaportes e carteiras de motorista. Também coleta comprovantes de endereço e documentos financeiros. Esses arquivos contêm dados pessoais densos. O RGPD, as regras AML e os supervisores bancários exigem todos um tratamento rigoroso.
Quando esses dados são transferidos para sistemas antifraude ou análises, regras adicionais se aplicam. As regras de minimização de dados do RGPD entram em vigor. Os dados pessoais devem ser mascarados ou desidentificados antes de qualquer uso secundário.
O problema do atraso de 2 dias
Um banco digital processava 5.000 solicitações KYC diárias em 15 países da UE. Sua etapa de varredura de PII causava um problema sério. A taxa de falsos positivos era muito alta. As filas de revisão cresceram até atingir um atraso de 2 dias.
A causa raiz era clara. Sua ferramenta baseada em ML marcava aproximadamente 8% do texto não-PII como dados pessoais. Cada arquivo tinha muitas páginas. O volume diário de falsos positivos era grande demais para a equipe processar em um dia. Eles continuavam acumulando atraso.
Os falsos positivos se dividiam em três grupos:
- Nomes de empresas marcados como nomes de pessoas (o modelo confundia nomes próprios)
- Códigos de referência marcados como números de identidade (sem verificação de soma de controle usada)
- Nomes comuns como "Chase" em nomes de bancos marcados como PII de nome de pessoa
Cada falso positivo precisava de revisão humana. A 8% em 5.000 arquivos diários, isso produzia milhares de tarefas diárias. Nenhuma podia ser automatizada.
O que a pesquisa ACL mostra
A pesquisa ACL 2024 testou modelos NLP multilíngues para detecção de PII. O resultado foi claro. Apenas 5% dos modelos NLP multilíngues atingem melhor que 85% de F1-score para PII não inglês em todos os 24 idiomas da UE.
O F1-score combina precisão e recall. Baixa precisão significa muitos falsos positivos. Baixo recall significa muitos itens perdidos. Ambos os resultados obtêm pontuações ruins. A taxa de falha de 95% para atingir 85% F1 mostra o quão difícil é a detecção de PII multilíngue na prática.
Em contraste, o XLM-RoBERTa atinge um F1 multilíngue de 91,4% para tarefas de PII. Esse número vem do benchmarking HuggingFace 2024. A diferença entre 91,4% e o modelo mediano explica por que ferramentas genéricas falham no KYC multilíngue.
Design híbrido para KYC de alto volume
O problema dos falsos positivos é solucionável. Três escolhas de design o corrigem.
Regex com verificação de soma de controle: Os números de identidade nacionais têm regras fixas. O Steuer-ID alemão, o BSN holandês e o PESEL polonês usam matemática de soma de controle. Se um número falha na soma de controle, não é um documento de identidade nacional. Formato mais soma de controle produz quase zero falsos positivos para esses identificadores.
NLP sensível ao contexto para nomes: Os nomes de pessoas em arquivos KYC aparecem em locais conhecidos. Estes incluem "Nome:", "Sobrenome:" e campos de formulário definidos. Exigir uma palavra de contexto antes de marcar um nome reduz os falsos positivos. Impede que nomes de empresas acionem alertas de nome de pessoa.
Ajuste de limiar por tipo de arquivo: Os arquivos KYC diferem de e-mails de suporte ou notas médicas. Cada tipo tem uma mistura de PII diferente. Definir limiares por tipo de arquivo permite que as equipes ajustem conforme suas necessidades. O KYC de alto volume recebe maior precisão. A desidentificação médica recebe maior recall.
O atraso de 2 dias não é um custo inevitável da varredura de PII. É o custo de usar ferramentas genéricas em um fluxo de trabalho específico. A solução é a configuração, não uma equipe maior.
Nosso guia de conformidade com o RGPD cobre as regras de minimização de dados. Nossa visão geral de segurança e conformidade explica os controles técnicos que apoiam fluxos de trabalho KYC conformes.